X Код для використання на сайті:
Ширина px

Скопіюйте цей код і вставте його на свій сайт

X Для завантаження презентації, скористайтесь соціальною кнопкою для рекомендації сервісу SvitPPT Завантажити собі цю презентацію

Презентація на тему:
Захист інформації в операційних системах, базах даних і мережах

Завантажити презентацію

Захист інформації в операційних системах, базах даних і мережах

Завантажити презентацію

Презентація по слайдам:

Слайд 1

Захист інформації в операційних системах, базах даних і мережах Віртуальні приватні мережі - VPN

Слайд 2

План Поняття про віртуальні захищені (приватні) мережі (VPN) Види віртуальних приватних мереж Сервіси VPN Способи утворення захищених тунелів Рівні реалізації VPN Протоколи: SSL, SOCKS, IPSec, PPTP, L2F, L2TF

Слайд 3

Захист інформації в процесі передавання її відкритими каналами зв’язку базується на виконанні таких функцій: автентифікація сторін, що взаємодіють; криптографічне закриття інформації, яка передається; підтвердження справжності й цілісності доставленої інформації; захист від повтору, затримки та видалення повідомлень; захист від відмовлення від фактів відправлення й одержання повідомлень.

Слайд 4

Поняття про віртуальні приватні мережі (VPN) Об’єднання локальних мереж і окремих комп’ютерів через відкрите зовнішнє середовище передавання інформації в єдину віртуальну мережу, яка забезпечує захист інформації, що в ній циркулює, називається захищеною (або приватною) віртуальною мережею (англ. – Virtual Private Network, VPN) Термін “віртуальна” означає, що така мережа формується як деяка підмножина реальної мережі, з каналами зв’язку, що моделюються реальними каналами Особливою ознакою віртуальної приватної (захищеної) мережі є її відокремлення від реальної мережі, яке повинне бути достатньо надійним для гарантування конфіденційності та цілісності інформації, що в ній передається, а також для забезпечення автентифікації сторін і унеможливлення відмовлення від авторства (англ. – Non-Repudiation)

Слайд 5

Види віртуальних приватних мереж виділяють три основних види віртуальних приватних мереж: VPN віддаленого доступу (англ. – Remote Access VPN) корпоративні VPN (англ. – Intranet VPN) міжкорпоративні VPN (англ. – Extranet VPN)

Слайд 6

VPN віддаленого доступу Віртуальні приватні мережі віддаленого доступу дозволяють значно скоротити витрати на використання комутованих та виділених ліній Принцип їх роботи: користувачі встановлюють з’єднання з місцевою точкою доступу до глобальної мережі (точкою присутності провайдера Інтернет) дані, які передають користувачі, “тунелюються” через Інтернет, що дозволяє уникнути плати за міжміський та міжнародний зв’язок дані від усіх користувачів концентруються на спеціальних пристроях – шлюзах віртуальної приватної мережі – и передаються у корпоративну мережу Суттєва економія від застосування цього типу VPN є потужним стимулом, але використання відкритого Інтернет в якості магістралі для транспорту чутливого (конфіденційного) корпоративного трафіка приймає погрожуючі розміри, що робить механізми захисту інформації життєво важливими елементами цієї технології

Слайд 7

Корпоративна мережа VPN Організації, що бажають організувати для своїх філій та відділень доступ до централізованих сховищ інформації, звичайно підключають віддалені вузли через виділені лінії або з використанням технології Frame Relay Використання виділених ліній означає зростання поточних витрат по мірі збільшення смуги пропускання та відстані між об’єктами Витрати на зв’язок по виділеним лініям перетворюються в одну з головних статей витрат на експлуатацію корпоративної інформаційної системи Для скорочення витрат організація може з’єднати вузли за допомогою віртуальної приватної мережі Для цього достатньо відмовитись від використання дорогих виділених ліній, замінивши їх більш дешевим зв’язком через Інтернет Це суттєво скорочує витрати, оскільки в Інтернеті відстань ніяк не впливає на вартість з’єднання

Слайд 8

Міжкорпоративна мережа VPN Extranet – це мережна технологія, яка забезпечує прямий доступ з мережі однієї організації до мережі іншої організації і таким чином сприяє підвищенню якості зв’язку, що підтримується в ході ділового співробітництва Мережі Extranet VPN в цілому подібні до корпоративних VPN з тією різницею, що проблема захисту інформації є для них ще гострішою Коли кілька організацій приймають рішення працювати разом і відкривають одна для одної свої мережі, вони повинні потурбуватись про те, щоби їхні нові партнери мали доступ лише до визначеного кола інформації При цьому конфіденційна інформація повинна бути надійно захищеною від несанкціонованого використання У міжкорпоративних мережах велике значення повинно надаватись контролю доступу з використанням міжмережних екранів (англ. – Firewalling) Також особливо важливою є автентифікація користувачів, яка повинна гарантувати, що доступ до інформації отримують лише ті, кому він дійсно дозволений Розгорнута система захисту від несанкціонованого доступу повинна бути максимально прозорою і не вимагати втручання користувачів

Слайд 9

Сервіси VPN Забезпечення конфіденційності Забезпечення цілісності Автентифікація та запобігання відмовленню від авторства

Слайд 10

Забезпечення конфіденційності Найпростішим і найпоширенішим способом забезпечення конфіденційності інформації є її шифрування, або криптографічне закриття Незважаючи на те, що самі алгоритми шифрування дуже складні, їх реалізація великих утруднень не викликає Доволі значну проблему становить керування ключами, особливо в разі значного збільшення кількості користувачів В реалізації VPN керування ключами є одною з головних проблем, що потребує надійного і ефективного рішення Шифрування має неминучий побічний ефект – деяку втрату продуктивності Апаратно реалізоване шифрування звільняє пристрої захисту від додаткового навантаження, пов’язаного з виконанням алгоритмів шифрування, і забезпечує кодування трафіка без втрати швидкості обміну У разі здійснення атаки на засоби захисту VPN існує загроза підміни програмних компонентів, в тому числі саме тих, що забезпечують шифрування. Загроза несанкціонованого впливу на апаратні засоби є значно менш ймовірною Для апаратної реалізації шифрування застосовуються спеціалізовані інтегральні схеми прикладної орієнтації (англ. – Application-Specific Integrated Circuit, ASIC)

Слайд 11

Забезпечення цілісності Цілісність контролюється використанням математичних алгоритмів хешування Важливо підкреслити, що криптографічні механізми не забезпечують захист цілісності, а лише дозволяють впевнитись, що цілісність не була порушена, або, навпаки, виявити порушення Алгоритми хешування також потребують значних ресурсів процесора Це дає підстави реалізовувати виконання цих алгоритмів в апаратних засобах з використанням інтегральних схем прикладної орієнтації

Слайд 12

Автентифікація та запобігання відмовленню від авторства Запобігання відмовленню від авторства (англ. – Non-Repudiation) – це додаткова функція, що реалізується на базі автентифікації У захищеному спілкуванні часто виникають випадки, коли крім підтвердження того, що абонент є саме тим, за кого він себе намагається видати, важливо отримати незаперечні докази того, що повідомлення одержано від конкретного користувача Також буває необхідним доказове підтвердження того, що певний користувач дійсно одержав деяке повідомлення Ці функції захисту у ряді випадків повинні бути невід’ємною складовою реалізації VPN

Слайд 13

Способи утворення захищених віртуальних каналів Будь-який з двох вузлів віртуальної мережі, між якими формується захищений тунель, може належати кінцевій чи проміжній точці потоку повідомлень, який захищають. Відповідно можливі різні способи утворення захищеного віртуального каналу. кінцеві точки тунелю співпадають з кінцевими точками потоку повідомлень кінцевою точкою захищеного тунелю обирають брандмауер або граничний маршрутизатор локальної мережі, захищений тунель утворюється лише у публічній мережі в якості кінцевих точок захищеного тунелю виступають засоби, що встановлені не на комп’ютерах користувачів, а на площах провайдерів Інтернет

Слайд 14

Кінцеві точки тунелю співпадають з кінцевими точками потоку повідомлень Цей варіант є найкращим з міркувань безпеки Приклади кінцевих точок: сервер у центральному офісі компанії і робоча станція користувача у віддаленій філії портативний комп’ютер співробітника, який перебуває у відрядженні Перевагою такого варіанту є те, що захист інформаційного обміну забезпечується на всьому шляху пакетів повідомлень Суттєвий недолік цього варіанту – децентралізація керування Засоби утворення захищених тунелів повинні встановлюватись і належним чином налаштовуватись на кожному клієнтському комп’ютері, що у великих мережах є занадто трудомісткою задачею

Слайд 15

Кінцева точка захищеного тунелю – брандмауер або граничний маршрутизатор локальної мережі Захищений тунель утворюється лише у публічній мережі Якщо відмовитись від захисту трафіка всередині локальної мережі (або локальних мереж), що входить до складу VPN, можна досягти помітного спрощення задач адміністрування Захист трафіка всередині локальної мережі може забезпечуватись іншими засобами, такими, як, наприклад, реєстрація дій користувачів і організаційні заходи

Слайд 16

Кінцеві точки захищеного тунелю – засоби, що встановлені на теренах провайдерів Інтернету Переваги: Виключається найскладніша задачу – адміністрування засобів утворення захищених тунелів, що встановлені на комп’ютерах (в тому числі портативних пристроях), з яких здійснюється віддалений доступ Підвищена масштабованість і керованість мережі Прозорість доступу Аргументація на користь припустимості такого зниження захищеності: Саме Інтернет, як і інші мережі з комутацією пакетів, є найбільш вразливими для дій порушників Канали телефонної мережі та виділені лінії, які використовуються між кінцевими вузлами віддаленого доступу і провайдерами, і які в цьому випадку є незахищеними, не настільки вразливі Одночасно з економією коштів на адмініструванні кінцевих вузлів зростають витрати на послуги провайдерів, крім того, провайдеру при цьому необхідно довіряти

Слайд 17

Рівні реалізації VPN Реалізація VPN можлива засобами протоколів Сеансового рівня (SSL/TLS, SOCKS) Мережного рівня (IPsec) Канального рівня (PPTP, L2TP) Поза розглядом залишаються системи шифрування на прикладному рівні, які реалізуються у деяких протоколах (SHTTP тощо), або просто деякими спеціальними прикладними програмами (наприклад, PGP) Зазначені засоби здатні забезпечити захист інформаційного обміну, але вони не є прозорими для прикладних програм як правило, вони не забезпечують усіх необхідних функцій вони не відносяться до засобів утворення VPN

Слайд 18

Захист віртуальних каналів на канальному рівні Утворення захищених тунелів на канальному рівні моделі OSI забезпечує незалежність від протоколів мережного рівня і всіх вищих рівнів Таким чином досягається максимальна прозорість VPN Недоліки: Ускладнюються задачі конфігурації і підтримки віртуальних каналів Ускладнюється керування криптографічними ключами Зменшується набір реалізованих функцій безпеки В якості протоколів на цьому рівні використовуються: PPTP (англ. – Point-to-Point Tunneling Protocol) L2F (англ. – Layer-2 Forwarding) L2TP (англ. – Layer-2 Tunneling Proto